Autosave
This commit is contained in:
parent
ddb7e5a11b
commit
45eda92540
|
@ -369,10 +369,9 @@ Zertifikate auf Basis des RSA-Kryptosystems wurden im OpenVPN-Umfeld also mindes
|
||||||
Die daraus resultierenden Erfahrungswerte sind für die Auswahl des Kryptosystems der VPN-CA ausschlaggebend, da die Zertifikate für den VPN-Dienst, abhängig von ihrem Verwendungszweck, für Zeiträume von 5 bis 20 Jahren gültig sein sollen.
|
Die daraus resultierenden Erfahrungswerte sind für die Auswahl des Kryptosystems der VPN-CA ausschlaggebend, da die Zertifikate für den VPN-Dienst, abhängig von ihrem Verwendungszweck, für Zeiträume von 5 bis 20 Jahren gültig sein sollen.
|
||||||
|
|
||||||
Für das gewählte Kryptosystem müssen spezifische Parameter wie die gewünschte Schlüs\-sel\-län\-ge und, im Fall von EKK, eine elliptische Kurve gewählt werden.
|
Für das gewählte Kryptosystem müssen spezifische Parameter wie die gewünschte Schlüs\-sel\-län\-ge und, im Fall von EKK, eine elliptische Kurve gewählt werden.
|
||||||
Sollten die Parameter des Kryptosystems oder das Kryptosystem selbst nicht mehr als sicher gelten, so muss eine neue CA mit einem als sicher eingestuftem Kryptosystem aufgebaut werden.
|
Sollten die Parameter des Kryptosystems oder das Kryptosystem selbst während des Betriebszeitraums nicht mehr als sicher gelten, so muss eine neue CA aufgebaut werden und die unsichere CA ersetzen.
|
||||||
Zusätzlich müssen alle gültigen Zertifikate der alten CA durch Zertifikate der neuen CA ersetzt werden.
|
Tritt dieser Fall ein, so ist er mit einem hohen Arbeitsaufwand verbunden, da neue Betriebsparameter für die CA gewählt werden müssen und alle gültigen Zertifikate der alten CA entsprechend ersetzt werden müssen.
|
||||||
Tritt dieser Fall ein, so ist er mit einem hohen Arbeitsaufwand verbunden.
|
Deshalb ist es geboten das Risiko für diesen Fall zu minimieren.
|
||||||
Deshalb soll schon bei der Auswahl des Kryptosystems dieses Risiko minimiert werden.
|
|
||||||
|
|
||||||
Die Auswahl des Kryptosystems für die CA zielt darauf ab, möglichst wenig potentielle Fehlerquellen zu haben, damit die Wahrscheinlichkeit ein Einsatz über 20 Jahre
|
Die Auswahl des Kryptosystems für die CA zielt darauf ab, möglichst wenig potentielle Fehlerquellen zu haben, damit die Wahrscheinlichkeit ein Einsatz über 20 Jahre
|
||||||
Um das Eintrittsrisiko eines solchen Falls zu reduzieren, wird wird ein Kryptosystem ausgewählt, welches möglichst wenig Fehlerquellen mit sich bringt, die zu führen können.
|
Um das Eintrittsrisiko eines solchen Falls zu reduzieren, wird wird ein Kryptosystem ausgewählt, welches möglichst wenig Fehlerquellen mit sich bringt, die zu führen können.
|
||||||
|
@ -464,7 +463,7 @@ Zusätzlich wird in einem RFC\cite[][Kapitel 3.3]{RFC7525} auch zur Deaktivierun
|
||||||
Auf der DEFCON 26 wird mit \enquote{VORACLE} ein in dieser Richtung relevanter Angriff auf OpenVPN vorgestellt\footnote{\url{https://media.defcon.org/DEF\%20CON\%2026/DEF\%20CON\%2026\%20presentations/Nafeez/DEFCON-26-Nafeez-Compression-Oracle-attacks-on-VPN-Networks.pdf}}.
|
Auf der DEFCON 26 wird mit \enquote{VORACLE} ein in dieser Richtung relevanter Angriff auf OpenVPN vorgestellt\footnote{\url{https://media.defcon.org/DEF\%20CON\%2026/DEF\%20CON\%2026\%20presentations/Nafeez/DEFCON-26-Nafeez-Compression-Oracle-attacks-on-VPN-Networks.pdf}}.
|
||||||
|
|
||||||
Festlegung kryptografischer Parameter:
|
Festlegung kryptografischer Parameter:
|
||||||
Wir sprechen nur TLS 1.2 oder höher.
|
Wir sprechen nur TLS~1.2 oder höher.
|
||||||
\begin{lstlisting}
|
\begin{lstlisting}
|
||||||
tls-version-min "1.2"
|
tls-version-min "1.2"
|
||||||
\end{lstlisting}
|
\end{lstlisting}
|
||||||
|
@ -476,7 +475,7 @@ Verschlüsselung der Daten mit AES-256-GCM.
|
||||||
\begin{lstlisting}
|
\begin{lstlisting}
|
||||||
cipher AES-256-GCM
|
cipher AES-256-GCM
|
||||||
\end{lstlisting}
|
\end{lstlisting}
|
||||||
Prüfen der Zertifikate mittels Hashfunktion SHA256.
|
Prüfen der Zertifikate mittels Hashfunktion SHA-256.
|
||||||
\begin{lstlisting}
|
\begin{lstlisting}
|
||||||
auth SHA256
|
auth SHA256
|
||||||
\end{lstlisting}
|
\end{lstlisting}
|
||||||
|
|
Loading…
Reference in New Issue